CA 认证过程及 https 实现方法

本文详细介绍了CA认证过程,包括CA的功能、证书的作用及证书的生成步骤。并提供了实战教程,涵盖如何搭建CA认证中心,以及在Apache和Nginx上配置HTTPS,包括Apache的80端口跳转443端口和Nginx的配置方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CA 认证过程

CA 概述:Certificate Authority 的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书。CA 认证的流程和公安局派出所颁发身份证的流程一样
认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。
CA 证书作用:身份认证,实现数据的不可否认性。
我们先回顾一下身份证的办理过程:
带上户口本(证明你合法)-》当地派出所(认证机构)-》签发证书(审核有效信息)-》你去领证书
接下来我们回顾数字证书认证过程如下图:

D686-E0CF-D309-349E 8A05-3594-ECA5-D0EA B101-B6E7-8A9E-79B8 3698-89DD-C9E3-F045

证书请求文件:CSR 是 Cerificate Signing Request 的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由 CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR 文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。

总结:证书签名过程
1、 生成请求文件
2、 CA 确认申请者的身份真实性
3、 CA 使用根证书的私钥加密请求文件,生成证书
4、 把证书传给申请者

用户使用 CA 证书确认服务器身份过程如下图

1、请求文件发给 centos60 CA 认证中心
2、CA 认证 (用 CA 的私钥加密 centos70 的请求文件), 得到加密后的文件,这个文件就是centos70 的证书 ),CA 认证中心颁发给 centos70 加密后的数字证书
3、用户访问 centos70 并向 centos70 索要数字证书
4、用户拿到数字证书后,用浏览器中 CA 的公钥解密 centos70 的证书,解开后得到 centos70 的公钥和标识(主机名,国家,省,组织等信息),从而确认centos70 的身份。

证书价格:

https://buy.wosign.com/

https://www.shuzizhengshu.com/html/chanpin/SSLzhengshu/

https://freessl.cn/

实战 1:搭建 CA 认证中心

1、安装 CA 认证软件包中心:
[root@centos60 ~]# rpm -qf `which openssl`
openssl-1.0.2k-16.el7.x86_64

2、配置一个自己的 CA 认证中心。生成 CA 的根证书和私钥。 根证书中包括:CA 的公钥
[root@centos60 ~]# vim /etc/pki/tls/openssl.cnf

3、生成 CA 的公钥证书和私钥。
[root@centos60 ~]# /etc/pki/tls/misc/CA -h
usage: /etc/pki/tls/misc/CA -newcert|-newreq|-newreq-nodes|-newca|-sign|-verify

选项 :
-newcert 新证书
-newreq 新请求
-newreq-nodes  新请求节点
-newca  新的 CA 证书
-sign 签证
-verify  验证

[root@centos60 ~]# /etc/pki/tls/misc/CA -newca

[root@centos60 ~]# /etc/pki/tls/misc/CA -newca
CA certificate filename (or enter to create) 直接回车
Making CA certificate ...
Generating a 2048 bit RSA private key
................+++
...............+++
writing new private key to '/etc/pki/CA/private/./cakey.pem'
Enter PEM pass phrase:123456  输入密码,保护私钥
Verifying - Enter PEM pass phrase:  再次输入密码
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN 国家
Sta
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值